Les acteurs de la menace utilisent des exploits publics pour une faille critique de contournement d’authentification dans ProjectSend pour télécharger des webshells et accéder à distance aux serveurs.
La faille, identifiée comme CVE-2024-11680, est un bogue d’authentification critique affectant les versions de ProjectSend antérieures à r1720, permettant aux attaquants d’envoyer des requêtes HTTP spécialement conçues à ‘ options.php ‘ pour modifier la configuration de l’application.
Une exploitation réussie permet la création de comptes malveillants, l’implantation de webshells et l’incorporation de code JavaScript malveillant.
Bien que la faille ait été corrigée le 16 mai 2023, elle n’a reçu de CVE qu’hier, laissant les utilisateurs inconscients de sa gravité et de l’urgence d’appliquer la mise à jour de sécurité.
Selon VulnCheck, qui a détecté une exploitation active, le rythme des correctifs a été catastrophique jusqu’à présent, 99% des instances de ProjectSend exécutant toujours une version vulnérable.
Des milliers d’instances exposées
ProjectSend est une application Web de partage de fichiers open source conçue pour faciliter les transferts de fichiers sécurisés et privés entre un administrateur de serveur et des clients.
Il s’agit d’une application modérément populaire utilisée par les organisations qui préfèrent les solutions auto-hébergées aux services tiers tels que Google Drive et Dropbox.
Censys rapporte qu’il existe environ 4 000 instances ProjectSend publiques en ligne, dont la plupart sont vulnérables, explique VulnCheck.
Plus précisément, les chercheurs rapportent que, sur la base des données de Shodan, 55% des instances exposées exécutent r1605, publiée en octobre 2022, 44% utilisent une version sans nom d’avril 2023 et seulement 1% est sur r1750, la version corrigée.
VulnCheck rapporte avoir constaté une exploitation active de CVE-2024-11680 qui va au-delà des simples tests, y compris la modification des paramètres système pour permettre l’enregistrement des utilisateurs, l’obtention d’un accès non autorisé et le déploiement de webshells pour maintenir le contrôle sur les serveurs compromis.
Cette activité a augmenté depuis septembre 2024, lorsque Metasploit et Nuclei ont publié des exploits publics pour CVE-2024-11680.
« VulnCheck a remarqué que les projets et les serveurs destinés au public avaient commencé à changer les titres de leurs pages de destination en de longues chaînes aléatoires », lit-on dans le rapport.
« Ces noms longs et aléatoires sont conformes à la façon dont Nuclei et Metasploit implémentent leur logique de test de vulnérabilité. »
« »Les deux outils d’exploitation modifient le fichier de configuration de la victime pour modifier le nom du site (et donc le titre HTTP) avec une valeur aléatoire. »
Les listes de bruit gris 121 Sont liées à cette activité, suggérant des tentatives généralisées plutôt qu’une source isolée.
VulnCheck avertit que les webshells sont stockés dans le répertoire ‘upload / files’, avec des noms générés à partir d’un horodatage POSIX, le hachage SHA1 du nom d’utilisateur et le nom/extension de fichier d’origine.
L’accès direct à ces fichiers via le serveur Web indique une exploitation active.
Les chercheurs avertissent qu’il est essentiel de passer à la version r1750 de ProjectSend dès que possible, car les attaques sont probablement déjà répandues.